Od 21 lutego br. obowiązuje w Polsce trzeci stopień alarmowy CHARLIE – CRP. Obecnie jego obowiązywanie zostało przedłużone do 15 kwietnia 2022 r. do godz. 23:59.
Stopnie alarmowe CRP dotyczą zagrożenia w cyberprzestrzeni. Określone one zostały w ustawie o działaniach antyterrorystycznych. CHARLIE–CRP jest trzecim stopniem w czterostopniowej skali, pozostałe to ALFA – CRP (pierwszy stopień alarmowy), BRAVO - CRP (drugi stopień alarmowy) oraz DELTA – CRP (czwarty stopień alarmowy). Stopnie te wprowadza się w przypadku zagrożenia wystąpieniem zdarzenia albo wystąpienia zdarzenia o charakterze terrorystycznym dotyczącego systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.
Alarm CHARLIE, bo istnieje zagrożenie w cyberprzestrzeni
Trzeci stopień, czyli właśnie CHARLIE – CRP można wprowadzić m.in. w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, godzącego w bezpieczeństwo lub porządek publiczny lub uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym na terytorium kraju.
Stopnie alarmowe w uproszczeniu stanowią przede wszystkim sygnał dla organów administracji publicznej oraz kierowników służb i instytucji właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego, żeby były w stanie podwyższonej gotowości do działania. Zadania organów państwowych w przypadku wprowadzenia stopni alarmowych CRP wskazane zostały w rozporządzeniu w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP.
Czym jest Krajowy System Cyberbezpieczeństwa?
W związku z aktualną sytuacją polityczną, której nieodzowną częścią stają się także ataki cybernetyczne, kluczową rolę zaczął odgrywać krajowy system cyberbezpieczeństwa (KSC). Organizację tego systemu, a także zadania i obowiązki podmiotów wchodzących w jego skład określa ustawa o krajowym systemie cyberbezpieczeństwa, obowiązująca od 2018 r., która wdraża do polskiego porządku prawnego unijną dyrektywę NIS.
KSC składa się w szczególności z następujących podmiotów:
- operatorów usług kluczowych (OUK) wobec których wydano decyzję o uznaniu za ten podmiot (przy czym rodzaje takich podmiotów określone zostały w załączniku nr 1 do ww. ustawy, do których zalicza się np. podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego, ropy naftowej, węgla brunatnego, przedsiębiorstwa energetyczne, banki krajowe oraz oddziały banków zagranicznych czy podmioty lecznicze) oraz
- dostawców usług cyfrowych (DUC), będących co najmniej średnimi przedsiębiorcami (przy czym rodzaje usług cyfrowych określone zostały w załączniku nr 2 do ww. ustawy i zalicza się do nich internetowe platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe) oraz
- innych podmiotów określonych w art. 4 ustawy o KSC takich jak NBP, BGK, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej itp.
Główną funkcją KSC jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych. W tym celu wprowadzono system reagowania na incydenty, czyli zdarzenia, które mają lub mogą mieć negatywny wpływ na cyberbezpieczeństwo. Ustawa o KSC grupuje je na incydenty krytyczne, poważne i istotne. W ustawie określono także zadania tzw. CSIRT, czyli Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (działające na poziomie krajowym), a prowadzone przez Szefa Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Ministra Obrony Narodowej (CSIRT MON), Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (CSIRT NASK). Dodatkowo przewidziano także możliwość powoływania tzw. sektorowych zespołów cyberbezpieczeńswa. Niestety jak dotychczas powstał tylko jeden taki zespół – dla sektora finansowego przy Komisji Nadzoru Finansowego (CSIRT KNF).
Co ważne, ustawa o KSC nakłada na podmioty nim objęte szereg obowiązków – najwięcej z nich dotyczy OUK.
OUK zobowiązani są m.in. do wdrożenia odpowiedniego systemu zarządzania bezpieczeństwem w systemie informatycznym, opracowania, stosowania i aktualizacji dokumentacji dot. cyberbezpieczeństwa oraz ustanowienia nadzoru nad nią, zapewnienia obsługi incydentu, klasyfikacji incydentu jako poważny i jego zgłoszenia do odpowiedniej jednostki, przeprowadzenia cyklicznego (co najmniej raz na 2 lata) audytu bezpieczeństwa systemu informatycznego. OUK w celu wykonania wskazanej w ustawie części swoich zadań zobowiązany jest powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z podmiotem świadczącym takie usługi.
Z kolei DUC zobowiązany jest m.in. do podjęcia właściwych i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem, na jakie narażone są systemy informatyczne, przeprowadzania czynności umożliwiających wykrywanie, rejestrowanie i klasyfikowanie incydentu, dokonywania kwalifikacji incydentu jako istotnego, zgłaszania incydentu istotnego do odpowiedniej jednostki oraz zapewnienia obsługi incydentu istotnego i krytycznego we współpracy z odpowiednimi jednostkami.
Czy obecny system jest wystarczający?
W praktyce podkreśla się, że słabością KSC jest przede wszystkim jego rozproszona struktura, tj. brak centralnego ośrodka zapewniającego odgórne kierownictwo i nadzór nad krajowym systemem cyberbezpieczeństwa, a także umożliwiającego odpowiednią wymianę informacji.
W trakcie prac nad Strategią Cyberbezpieczeństwa RP na lata 2019-2024, partnerzy społeczni wskazali także na potrzebę usprawnienia KSC. Przyczynić się do tego może. m.in. ujednolicenie na poziomie krajowym procedur zgłaszania incydentów, zapewnienie warunków do utworzenia sektorowych CSIRT, wzmocnienie współpracy OUK z organami właściwymi i krajowymi zespołami CSIRT w zakresie wymiany informacji (zwłaszcza o incydentach), a także umożliwienie tworzenia centrów analizy i wymiany informacji (ISAC).
Ponadto aktualnie krajowym systemem cyberbezpieczeństwa nie jest objętych szereg podmiotów z kluczowych sektorów gospodarki, takich jak przedsiębiorcy komunikacyjni czy dostawcy usług zaufania, co również uważa się za słabość obecnie obowiązującego KSC.
Wydaje się także, że proces wydawania decyzji uznającej dany podmiot za OUK również jest długotrwały i aktualnie (ponad 3,5 roku od wejścia w życie ustawy o KSC) liczba wydanych w tym przedmiocie decyzji nie pokrywa się z wszystkimi rzeczywistymi operatorami usług kluczowych funkcjonującymi na rynku krajowym, co z kolei opóźnia realizację obowiązków nałożonych ustawą na OUK.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
Aktualnie Rada Ministrów pracuje nad nowelizacją ustawy o KSC, której celem jest wzmocnienie i dalszy rozwój krajowego systemu cyberbezpieczeństwa, w tym na podstawie doświadczeń zebranych w trakcie dotychczasowego funkcjonowania KSC w Polsce. Jedną z głównych zmian ma być rozszerzenie kręgu podmiotów objętych KSC właśnie o przedsiębiorców komunikacyjnych i dostawców usług zaufania (w ograniczonym zakresie).
Zmiany dotkną także OUK. Na ich rzecz działać będą zespoły pełniące funkcję operacyjnego centrum bezpieczeństwa, tj. SOC (Security Operations Center), które będą realizować wskazane zadania OUK w zakresie bezpieczeństwa systemów informatycznych (w tym dot. wdrożenia systemu do zarządzania bezpieczeństwem, opracowanie i stosowanie dokumentacji dot. cyberbezpieczeństwa itp.). Co ważne, SOC będzie mógł zostać powołany w ramach struktur wewnętrznych OUK albo taką funkcję będzie mógł pełnić podmiot zewnętrzny na podstawie umowy z OUK.
Nowelizacja umożliwia także tworzenie ISAC (Information Sharing and Analysis Center), czyli centrum wymiany informacji pomiędzy pomiotami objętymi KSC. ISAC w założeniu ma także usprawnić współpracę podmiotów z krajowymi zespołami CSIRT. Ponadto nowelizacja wprowadza krajowy system certyfikacji cyberbezpieczeństwa.
W oparciu o znowelizowane przepisy możliwe będzie także przeprowadzenie postępowania w sprawie uznania za dostawcę wysokiego ryzyka. Stanowi to jedną z najbardziej kontrowersyjnych zmian przewidzianych w nowelizacji. Takie postępowanie może zakończyć się bowiem wydaniem decyzji administracyjnej uznającej dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. W konsekwencji niektóre podmioty (zwłaszcza podmioty objęte KSC) nie będą mogły korzystać z produktów, usług lub procesów objętych taką decyzją.
Ponadto minister właściwy do spraw informatyzacji upoważniony ma zostać do polecenia zabezpieczającego w przypadku wystąpienia incydentu krytycznego, które ma mieć formę decyzji administracyjnej i będzie mogło zawierać szereg nakazów i zakazów skierowanych do jego adresata określonego rodzajowo, w tym np. zakaz korzystania z określonego sprzętu czy oprogramowania.
Powyżej przedstawiono jedynie część zmian, które mają zostać wprowadzone w ustawie o KSC. Zasygnalizować także należy, że istotne zmiany w zakresie KSC przynieść może w przyszłości także planowana dyrektywa NIS 2.
Wprowadzenie do polskiego porządku prawnego przepisów dotyczących KSC było niezbędne i oczekiwane przez rynek nowych technologii. Niemniej doświadczenia zebrane w oparciu o dotychczasowy okres funkcjonowania KSC wskazują jednoznacznie, że system ten jest niedoskonały i nie zapewnia jeszcze odpowiedniego poziomu krajowego cyberbezpieczeństwa. Częściową odpowiedzią na problemy KSC ma być projektowana nowelizacja ustawy o KSC, która jednak z uwagi na swą materię wymaga przeprowadzenia szeroko zakrojonych konsultacji publicznych.
Autorka: Paulina Jakubowska, radca prawny, senior associate w Hoogells
